포스팅 내용

악성코드 분석 리포트

끊임없이 진화하는 뱅킹 악성앱 주의!

금융기관 앱을 사칭하여 기기정보 및 뱅킹 관련 정보들을 탈취하는 악성앱 변종이 지속적으로 확인되고 있습니다. 


2013년 이후 그 수량이 감소하였지만 여전히 꾸준히 발견되고 있으며, 그 수법 또한 점점 정교해 지고 있습니다. 일단 이러한 악성앱에 감염되면 중요 금융정보들을 탈취당하여 큰 피해를 입을 수 있는 만큼 사용자들의 각별한 주의가 필요합니다.  


기존 악성 뱅킹앱들은 은행들을 사칭하여 기기정보 및 뱅킹 관련 정보들을 사용자가 직접 기입하도록 유도하여 탈취 했습니다. 


하지만 최근의  악성 뱅킹앱들은 사용자의 직접적인 행동 없이도 주소록, 문자 메세지를 몰래 탈취하고, 특정 대부업체로 전화를 걸면 이를 자동으로 가로채게 하여 공격자가 원하는 번호로 변경하는 행위를 하기 때문에 사용자가 알아차리기 어려워졌습니다.


최신 변종 뱅킹앱


처음 앱을 실행하면 캐피탈을 사칭하여 신용대출과 관련된 화면이 나타나고 개인정보 입력을 유도합니다.


[그림 1 캐피탈 사칭]


asseets폴더 내부에는 “num.dat”파일과 “image.zip”파일 2개가 있습니다. 



[그림 2 assets 내부파일]


“num.dat”파일에는 특정 대부업체의 번호가 500개 이상이 기록되어 있고 “image.zip”파일에는 50개 이상의 사진 파일들이 있습니다. 




[그림 3 assets 내부의 전화번호 파일 및 통화 관련 사진]



Assets 폴더로부터 500개 이상의 대부업체 전화번호가 적인 파일과 통화와 관련된 사진들을 불러오며, 사용자가 특정 대부업체로 전화를 할 경우 그 전화를 공격자가 의도한 번호로 포워딩하고 사용자를 속이기 위한 가짜 통화관련 사진을 팝업 합니다.


포털 사이트를 통하여 실제로 존재하고 있는 전화번호와 대부업체 임을 확인하였습니다. 


[그림 4 개인정보 탈취]



[그림 5 주소록 탈취 후 C&C 서버 전송]


사용자 디바이스를 감염 시킨 후 디바이스 아이디와 사용자 주소록, 문자메세지를을 탈취하고 xml형태로 저장하여 이를 C&C 서버인 “hana101.eocnf961.com (111.223.246.53)”서버로 전송합니다.




[그림 6 통화 상태 확인]


기기의 통화 상태를 확인하고 기기의 기종에 따라 사용자를 속이는 사진을 팝업 한 후 공격자가 의도한 번호로 포워딩합니다. 공격자가 의도한 번호는 C&C서버인 hana101.eocnf961.com (111.223.246.53)를 통해서 받아오는데 현재 이 서버와는 통신이 되지 않아서 해당 번호를 확인할 수 없습니다



과거 뱅킹앱


 

해당 앱은 KB 국민은행 앱을 사칭하고 있으며, 앱을 실행하면 다음과 같은 화면이 뜹니다. 



[그림 7 뱅킹 사칭]


이 악성앱은 ISMS, 휴대폰 번호, SIM 시리얼 번호 등 기기정보를 탈취하며,  사용자들에게 금융계좌와 개인정보 입력 및 보안카드 정보 입력을 유도합니다. 


[그림 8 금융정보 및 개인정보 입력 유도]


이렇게 탈취한 정보들은 종합적으로 저장하여 공격자의 C&C서버로 전송하며, 전송 완료 후에는 “success”라는 응답을 받고 앱의 아이콘을 숨깁니다.


[그림9 정보 탈취 확인]


또한 은행 인증과 관련된 문자 수신 시 문자 내용을  C&C 서버(180.214.163.103 )로 전송합니다.


[그림 10 탈취하는 번호 C&C 서버]



결론


예전의 금융 악성앱들은 사용자를 속여 직접 정보를 입력하도록 유도하였지만, 최근에 발견되는 금융 악성앱들은 사용자 정보 탈취 뿐만 아니라 사용자 전화를 가로채어 공격자가 원하는 번호로 변경을 하는 등 끊임없이 진화하고 있습니다. 


이러한 악성앱들은 주로 SNS 링크나 써드파티 마켓을 통해 유포되므로, 출처가 불분명한 링크 클릭이나 써드파티 마켓에서 앱을 다운로드 하는것을 지양해야 합니다. 안드로이드 기기 및 백신을 항상 최신으로 유지하여야 합니다. 


해당 악성앱에 대하여 알약M에서는 Trojan.Android.KRBanker 등으로 탐지중에 있습니다. 



티스토리 방명록 작성
name password homepage